Re: Passswort sicher in die EXE speichern
 

ich freu mich über die vorschläge, aber ich verstehe nicht, was du genau meinst ... ;)

Re: Passswort sicher in die EXE speichern
 

Zum Crackme:

"tRoTTeL)" ohne "

EDIT: 2 min

Re: Passswort sicher in die EXE speichern
 

mist ... :wall:

Re: Passswort sicher in die EXE speichern
 

Wie gesagt, du mußt die Daten schon zumindestens in verschlüsselter Form in die EXE einbinden und selbst dieses Verschlüsselte könntem an unter Umständen noch leicht wieder entschlüsseln ^^nur für den QuellCode verschlüsselt reicht halt nicht aus, wie Chewie schon bemerkte, da ja z.B. #116#101#115#116 und 'test' nach dem Kompilieren auf das Selbe hinauskommt.

Wie gesagt, am sichersten ist es halt, wenn nirgendwo mit den FTP-Zugangsdaten gearbeitet wird, dann kann da natürlich auch keiner rankommen ;)

Re: Passswort sicher in die EXE speichern
 

Ihr wisst aber, daß FTP das Passwörter eh unverschlüsselt übertragen werden und jemand, der die Echse analysiert um nachzuschauen, ob er das Passwort unverschlüsselt darin findet, vorher das Passwort schon lange in seinem Netzwerksniffer abgegriffen hat?

Ja, übertragen wir das Passwort gleich zweimal ungeschützt über's Netzwerk!

Re: Passswort sicher in die EXE speichern
 

Er meint ein PHP-Script, dass sich auf einem Server befindet. Und es einem nur erlaubt Bilder hochzuladen.

Re: Passswort sicher in die EXE speichern
 

Na ja, wenigstens isses dann ja nich in der EXE drin für die Überpragung vom Script zum Programm könnte man es ja auch verschlüsseln :zwinker: (aber wenigstens isses da dann nicht in der EXE mit drin und er könnte halt norfalls die Zugangsdaten abundzu mal ändern)

Aber darum hab ich ja auch dafür plädiert diese Daten nirgendwo zu verwenden ;)


@Neotracer6: Tommie meinte meinen zweiten Vorschlag, also die Zugangsdaten von einem Script zu erfragen

Re: Passswort sicher in die EXE speichern
 

Ups, achso. Na dann finde ich den ersten doch besser. :)

Re: Passswort sicher in die EXE speichern
 

Also ehrlich: Ich verstehe nichts mehr! Was soll ich denn nun machen? Und vor allem wie? Ich will ja nur txt oder ini files mit ein paar kb hochladen ... Ist das denn so schwer? :wall:

Re: Passswort sicher in die EXE speichern
 

Es ist defacto unmöglich.

Um eine Datenübertragung von A nach B wirklich sicher hinzubekommen müssen A wie auch B einbruchsicher sein. Angenommen B ist ein Server dann ist dies relativ einfach zu bewerkstelligen, wenn wir mal nur die Datenübertragung über ein unsicheres Netzwerk betrachten (also keine Einbrecher oder böswillige Mitarbeiter).

Bei A wird es nun schwieriger. Ist es ein Mensch der sein Passwort im Kopf speichert und ein sehr gutes Passwort gewählöt hat so können wir davon ausgehen das dies einbruchsicher ist.

Ist A aber nur deine eigene Software dann wirst du es niemals sicher hinbekommen wenn die Plattform auf dem deine Software A nicht sicher ist. D.h. wir benötigen ein einbruchsicheres Betriebssystem samt einbruchsicherem Hardware Kernel. Microsoft nennt dies in seinem Palladium den Nexus.

Eine Alternative wäre ein intelligentes Hardware Dongle. Dies funktioniert aber nur dann wenn der Server B direkt mit dem Dongle A deiner Sofwtare die Daten austauschen kann.

Jede andere Lösung wird immer darauf hinauslaufen das du mit Programmiertechnsichen Tricks versuchst es dem "Angreifer" schwerer zu machen. Dies führt zu zwei wesentlichen Konsequenzen:
1.) du musst schlauer sein als eine rießige Gruppe von Angreifern die sich heutzutage sogar sehr gut organisiert haben
2.) du musst mehr Aufwand treiben in deinen Programmeirtechnischen Tricks als der Aufwand der auf Angreiferseite nötig wäre. Sprich die Angreiferseite kannst du als hochtechnisiert betrachten mit entsprechenden Tools.

Ich rate dir also folgendes:
Statt das Passwort in der EXE zu speichern müssen sich die Benutzer deiner Software bei dir registrieren. Du hast damit schonmal die Grundlage geschaffen das jeder Benutzer individuelle Zugangspasswörter bekommt, statt für alle Benutzer das gleiche Passwort zu benutzen. Desweiteren hast du damit einen Service-Vorteil errungen, du musst es nur als solchen verkaufen können. Technologisch ist es nun ein einfaches "illegales" Verhalten deiner Benutzer zu beobachten und entsprechend mit einer Zugangssperre auf den Server darauf zu reagieren.

Du verlagerst also immer mehr Software Funktionen weg von der Client-Software hin auf Server Seite den du ja unter Kontrolle hast. Du schaffst damit die technischen Voraussetzungen deine Benutzer überwachen zu können. Dies kann sogar unter Umständen zusätzliche Geld einbringen.

Man dürfte aus den letzten Sätzen sehr gut schon im WEB bestehende Konzepte wiedererkennen. Zb. Microsofts-Update Philosophie entspricht exakt diesem Konzept.

Gruß Hagen